1,产品概述
????????? 政府涉密网络、*、电力等行业中含有大量的敏感信息及涉密数据(可能定级为涉密网或含有敏感数据的非涉密网),这些涉密数据是不能流入比它密级低的网络中的,但这些网络通常又需要能从密级低的网络中获取数据。
??????? 目前大多是采用人工拷盘的方式,但是人工拷盘存在安全隐患、效率较低。随着网神安全隔离技术的沉淀与积累,通过2年多的探索与研发,推出光单向安全隔离数据自动导入(简称单向网闸),通过此产品可以*替代人工拷盘。单向网闸可以满足电子政务网中的上述数据单向流动的要求,保证单向的数据流,实现数据保密性要求。
2,产品特点
????? 在网络中部署网神SecSIS 3600光单向安全隔离数据自动导入系统既能够符合政府、*、企事业单位等的强制性安全策略--既在不同安全等级的网络间实现安全隔离,又能够保证可靠、安全的信息交换,提供文件交换服务,在网络应用的安全性及可用性间取得*的平衡。
?????? 采用光为传输介质,首先误码率低 A、B网主机间通过光为传输介质,具有传输距离短特点,不会有任何光信号衰减,所有误码率低。其次,高效传输 SFP(Small Form-factor Pluggables)是千兆位电信号转换为光信号的接口器件,理论速度为双向2.5Gbps/s,通过8b/10b编码方式,实际上能够达到的zui高速度为2 Gbps/s,四个SFP口也就是8 Gbps/s 。因此不存在性能瓶颈。
?????? 私有协议传输,保证高安全性 。FPGA设定了一个私有协议,可以在两个交换卡之间传递数据,从而实现主板之间的数据传输;
?“目录标签”标签机制保证数据完整性验证。 系统会对每个传输完成的文件计算MD5,当目的端接收到的文件MD5校验不*,则会告警。???? 系统会对每个传输完成的文件比较文件大小,当目的端接收到的文件与源文件大小不*,则会告警。
?“不完整数据”全面报警机制。主机发现不完整或丢失的文件,通过主机蜂鸣器发出铃声告警、通过日志进行告警、通过GUI界面进行告警等多种告警机制。
??
安全高效的硬件交换系统:
网神SecSIS 3600光单向安全隔离数据自动导入系统具有自主研发的A、B主机系统间的安全检测与控制处理单元,采用专有电路设计的单通道、单方向高速数据光交换卡,实现了独立的硬件交换控制逻辑,无操作系统及任何“软”控制,自主完成数据的交换,系统只负责把数据写到隔离交换卡中的缓冲区,由隔离交换卡根据硬件控制逻辑自动完成数据交换,自动同步两侧控制逻辑,进行互斥的读写操作。在保证安全性的同时,提供更好的处理性能,能够适应各种复杂网络环境对隔离应用的需求。
网神SecSIS 3600光单向安全隔离数据自动导入系统在内外主机系统间采用专有协议,阻断网络连接,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
??
提供无反馈信号的单向数据通道:
网神SecSIS 3600光单向安全隔离数据自动导入系统在具体的实现技术中采用了*的数据二极管技术。数据只是单向的“盲发”,没有反向的控制协议,也就是一方只管发送,另一方只管接收,反向没有数据通道也没有控制通道,*处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路,所以也称为信息流的单向技术。SFP 光模块作为传输接口,可以实现*的单向安全数据通路,即从硬件上*保证了单向性,保证涉密网数据不能外流;
核心应用的安全zui大化:
从安全实现的角度来讲,越接近应用层,则安全问题越复杂,解决问题也越困难。光单向安全隔离数据自动导入系统将应用层的数据转换成专有的数据格式进行处理,只允许安全的、可靠的信息在网络中传递。信息的格式、内容、交流对象等因素可依据企业安全策略,简化了核心应用面临的安全问题,
确保了核心应用的安全zui大化:
传统的安全检测产品只能发现利用已知安全漏洞发起的攻击。如果一种攻击手法还没有公布,则凭借现有的技术无法了解其攻击特征,也就无法识别攻击行为。网神SecSIS 3600对数据的交换不依赖于任何通用协议,没有数据包的处理及连接会话的建立,而是以静态的专有格式化数据块的形式在内/外网间传递,因此不会受到任何已知或未知漏洞的威胁。
3?产品功能
a,硬件规格? :?系统采用2+1模式,即系统由A网主机模块、B网主机模块和交换模块组成,其中交换模块由分别插在A网主机和B网主机PCI-E接口的交换卡组成。
b,隔离交换模块:? 采用自主研发的基于安全芯片的硬件,采用单根光纤连接,保证数据单向从低安全域导 入至高安全域。
c,内、外网? 分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理内、外网分别具有独立的HA口,实现双机热备
d,系统面?内外网主机系统与交换模块之间采用高性能PCI-E连接,消除性能瓶颈,?内部交换带宽≥5Gbps,延时≤20us
?
主模块?提供基于Web的图形化管理和基于数字证书的远程安全管理
?支持对网络接口模式进行设定,进行灵活部署
?可以通过时间控制功能模块启用和停用网闸功能
?支持管理员角色定制和管理,可以添加多个管理员角色,并定制权限
?支持用户名/口令、数据证书等多种认证管理方式
?支持管理员登录失败锁定次数、锁定时间和超时时间的设定
?实现管理终端IP地址和端口的访问控制
?提供完善的日志审计
?支持Syslog
?支持标准的SNMP协议
?支持配置管理,能够对单独模块进行配置导入导出
?支持系统补丁管理
?支持设备诊断信息导出
?可控制信息流动方向
?支持IP/MAC地址绑定和自动探测
?通过WEB管理界面进行设备的远程关闭及重启功能
?在配置界面提供调制工具,其中包括:tracert;ping;net;arp等。
?支持软硬件多核技术,通过界面能够查看到多核CPU使用率
?提供设备运行状态检测、系统资源监控
文件交换模块?
???????????????? 文件完整性采用“目录标签”校验机制、MD5校验、文件长度校验等多种文件完整性校验机制
?支持SMB、NFS、FTP三种文件传输协议进行文件单向传输
?支持文件传输方向控制:单向传输同步
?支持多种同步模式:复制加新增、源端删除等多种模式
?支持无客户端传输方式,不需要用户单独提供服务器,不需要安装任何客户端软件
?支持子目录同步控制和二进制文件同步控制
?支持包含子目录允许文件名、禁止文件名、允许扩展名、禁止扩展名等多种文件名过滤
?支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制
?可以设定同步任务的循环周期和开始时间
?支持暂缓传输文件控制
?提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。
?支持文件病毒过滤功能
?支持文件名与后缀的过滤
?支持任务运行标记
?发现文件不完整能够实现响铃告警、日志记录告警、GUI报表告警等多种报警机制
高可用性支持
?通过独立的HA端口实现双机热备,支持宕机切换、抜线切换,支持主动链路探测,支持设备优先级设置和自动抢占功能
防护设置?抗Dos攻击功能设置
?ICMP应答功能设置
资质要求?*部销售许可证 (三级)
?国家信息安全测评信息技术产品安全测评证书(百兆)
?国家信息安全测评信息技术产品安全测评证书(千兆)
?国家*涉密信息系统产品检测证书
?国家信息安全产品认证证书(二级)
?军B级军用信息安全产品认证证书
?参与《军用网络安全隔离交换产品通用要求》标准编制,要求提供证明文件
?计算机软件著作权登记证书
?多核并行安全操作系统证书
?北京市自主创新产品证书
?
4?产品型号与指标
产品型号:???????????????? H-Oneway
产品性能:
系统吞吐:?200Mbps
内部带宽:?5Gbps
系统延时:????????????????? <20μs
MTBF(小时) ?50,000
网络端口:?网闸内/外端机各包含6个10/100/1000Base-T(RJ45)以太网接口,
??????????????????????????????? 分别是:-4个网络口:用于连接内部/外部网络,
??????????????????????????????? 管理口:用于管理配置
???????????????????????????????? HA口:用于支持HA监测CONSOLE口?2
???????????????????????????????? USB口?4
硬件特性
机箱?标准2U机箱
液晶面板?有
电源?单电源/冗余电源
